Hlavní navigace

Bezpečnost v uplynulém týdnu: prolomení IM a opravy Microsoftu

 Autor: 29
Ondřej Bitto

Poslední týden v bezpečnostních aktualitách přinesl zranitelnost webového prohlížeče Opera a především pravidelnou každoměsíční dávku oprav od společnosti Microsoft. Jako bezpečnostní software zdarma bude představena aplikace Messenger Key pro obnovení hesel různých IM klientů.

Bezpečnostní aktuality

Opera

Verze: 9.x
Riziko: střední riziko (střední)
Jak se můžete dočíst například na níže odkazovaných stránkách bezpečnostního serveru Secunia, byla v populárním webovém prohlížeči Opera objevena nová zranitelnost, která se projevuje na systémech Linux, Solaris a FreeBSD. Základem je rozšíření v podobě pluginu Adobe Flash Player, bližší podrobnosti však zatím nebyly publikovány. Postiženy jsou prohlížeče Opera starší než verze 9.20, doporučené řešení proto spočívá v přechodu právě na tuto variantu.
Další informace: Secunia.com

Drupal

Verze: 4.6.x-1.*, 4.7.x-1.*
Riziko: vysoké riziko (vysoké)
Oblíbený publikační systém Drupal je podle nejnovějšího oznámení náchylný na zranitelnost, jež může vyústit v XSS útok. Základní kámen úrazu spočívá v modulu dba, který nedostatečně ošetřuje zpracovávaná data. Doporučené řešení spočívá v instalaci nejnovější verze Drupalu.
Další informace: Drupal.org

ICQ

Verze: 5.1
Riziko: nizke riziko (nízké)
V tuzemsku nerozšířenější instant messenger ICQ je náchylný na zranitelnost, jež má původ v nedostatečném ošetření funkce pro přenos souborů mezi dvěma uživateli. Přesněji se jedná o známý problém procházení vnořených adresářů (tzv. directory traversal útok), kdy se útočníkovi otevírá prostor pro uložení libovolných souborů do počítače vyhlédnuté oběti. Podobná zranitelnost postihuje také AIM, uživatelé ICQ by měli být chráněni automatickým doručením odpovídající opravy.
Další informace: Idefense.com

Opravy společnosti Microsoft

Minulé úterý bylo z pohledu společnosti Microsoft opět věnováno vydání pravidelných každoměsíčních oprav pro chyby různých produktů. První, která ale světlo světa výjimečně spatřila již týden předtím, je popsána v security bulletinu MS07–17 a týká se především poměrně hojně medializovaného kritického problému se zneužitím animovaných kurzorů v systémech Windows.

Kritický přívlastek získala také oprava v security bulletinu MS07–18, jež se zaměřuje na záplatování chyby v CMS, která mohla posloužit pro spuštění útočníkova vlastního kódu. Speciálně zranitelnosti ve Windows XP SP2 je věnován obsah MS07–19, přesněji kritickému nedostatku v komponentě Universal Plug and Play. Dvacáté pořadové číslo v tomto roce, a tedy hlavičku MS07–20, obdržela chyba v Microsoft Agent a konečně poslední kritická zranitelnost poslední várky je popsána v MS07–21 – tématem je chyba CSRSS různých verzí systému Windows. „Pouze“ důležitý přívlastek si vysloužila oprava v MS07–22, která popisuje možnost eskalace uživatelských práv v systémech Windows.

Kdybyste chtěli zalistovat zahraničními články na téma bezpečnosti, které v uplynulém týdnu vyšly online, můžete zkusit například tyto:

How to avoid falling into the phishing hole (Networldworld­.com)
Několik rad a tipů pro vyhnutí se phishingovým lákadlům.

Microsoft: Word 2007 crashes aren't a bug, they're a feature (Computerworld­.com)
Ne každá chyba je oficiálně přiznána jako chyba…

Microsoft zero-days said to target Office and Windows (Theregister.co­.uk)
Nekončící příběh zranitelností v Microsoft Office.

Bezpečnostní software zdarma

Messenger Key

Homepage: Lostpassword.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

Messenger Key

Ze stránek Slunečnice si v rámci bezpečnostního softwaru zdarma můžete stáhnout například zajímavou aplikace Messenger Key, která slouží pro rekonstrukci hesel nejznámějších instant messengerů. Podporovány jsou profily ICQ, MSN Messenger, Google Talk a Yahoo Messenger, obnovení přitom z nechráněného souboru s profilem probíhá prakticky okamžitě (podobnou funkčnost nabízejí také ostatní aplikace podobného zaměření).

Anketa

Používáte ICQ?

Našli jste v článku chybu?

9. 5. 2007 22:18

MMN (neregistrovaný)
Nelegální to nemůže být v případě, že jste s tou smlouvou nesouhlasil. Mně žádná předložena nebyla (registroval jsem se přes kopete, tuším). Pravda je, že ICQ je svinstvo. Ať žije Jabber.

18. 4. 2007 6:24

prudic (neregistrovaný)
"pristupuji k ICQ pouze transportem z jinych IM (Jabber)"
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují